悪意のあるWord文書が不正なWebプロキシを展開して暗号化されたトラフィックを乗っ取る

セキュリティ研究者は、ブラウザやオペレーティングシステムのWebプロキシ設定を悪用して機密ユーザーデータを盗む方法を最近強調しました。マイクロソフトのマルウェア研究者が発見して分析した新しい攻撃では、従来のマルウェアをインストールしていない悪質なコードでWord文書を使用しますが、代わりに攻撃者によって制御されるWebプロキシを使用するようにブラウザを設定します

悪意のあるプロキシ設定を展開するだけでなく、攻撃者がプロキシサーバーを通過する際に暗号化されたHTTPSトラフィックをスヌーピングできるように、システムに自己署名付きルート証明書もインストールされます。あなたのWindows PCからのマルウェア]

攻撃は、.docx添付ファイルを持つスパムメールから始まります。文書を開くと、インボイスや領収書に似た埋め込み要素が表示されます。クリックして実行すると、埋め込みオブジェクトは悪質なJavaScriptコードを実行します。

JavaScriptコードは難読化されていますが、その目的は複数のPowerShellスクリプトを削除して実行することです。 PowerShellはWindowsに組み込まれたスクリプト環境で、管理タスクの自動化が可能です。

PowerShellスクリプトの1つでは、後でHTTPSトラフィックを監視するために使用される自己署名付きルート証明書が展開されます。別のスクリプトは、Windowsとは別の証明書ストアを使用するMozilla Firefoxブラウザに同じ証明書を追加します。

3番目のスクリプトは、コンピュータをTor匿名ネットワークに接続できるクライアントをインストールします。これは、攻撃者がTor.onionのWebサイトを使用してプロキシ設定ファイルを提供するためです。

システムのプロキシ自動設定設定が、レジストリ内で.onionアドレスを指すように変更されます。

"この時点で、システムは完全に感染しており、HTTPSを含むWebトラフィックは、割り当てられたプロキシサーバーから見えるようになります。この場合、攻撃者は、マイクロソフトの研究者はブログ記事でこう語った。 SANS Internet Storm Centerの研究者は最近、ハッカーが不正をインストールしたブラジルからの同様の攻撃を報告しています。これは、攻撃者がリモートからトラフィックをリダイレクト、変更、監視することを可能にします。インターネットバンキングのウェブサイトにトラフィックを乗っ取るためにコンピュータ上のプロキシHTTPS暗号化を迂回するために、不正なルートCA証明書が配備されていました。

今月のDEF CONとBlack Hatセキュリティ会議では、中間者の攻撃者が、ユーザーが暗号化されたHTTPSまたはVPN接続経由でWebサイトにアクセスした場合でも、人々のオンラインアカウントをリモートからハイジャックし、機密情報を盗み出すためのWebプロキシ自動検出（WPAD）プロトコル。